» MikroTik RouterOS (часть 3)

vlh

Цитата:

значит правила из примера не все блокируют?

Ну почему, они блокируют то, под что предназначены. Просто траффик такой отсутствует Например, в случае Bogons, тот самый широковещательный и групповой траффик просто не пропускается маршрутизатором от клиентов и без всяких правил, лишь по той причине, что он маршрутизатор, а не коммутатор или хаб.

Цитата:

правило которое блокирует флуд на 25 порт

Интересно, не поделитесь (с возможностью перепечатки на форуме iXBT)?

cambit

Цитата:

Смысл настраивать если отключено?

Не настраивайте )) Убедитесь только, что нет скрипта, который может включить и использовать это правило.
Ошибка 691 обычно связана с неправильными логином/паролем, или если IP не входит в группу разрешённых к подключению. Просмотрите внимательно профили и секреты. Не требующееся сжатие лучше отключить (не оставлять на auto).

Цитата:

Может в этом проблема или это уже для дальнейшего прохождение пакетов в инет?

Source NAT нужен на выходе из роутера, чтобы "затенять" локальную сеть внешним адресом роутера. VPN-сеть у вас тоже относится к локальной сети.
Кстати, если нужно прозрачно объединить VPN-сеть с локальной в одно адресное пространство, чтобы работало сетевое окружение (например для офиса) - разработчики рекомендуют включить Proxy ARP в свойствах реального сетевого интерфейса, смотрящего в локалку.

Цитата:

версия МКТ у меня 2.9.27

Она очень уж древняя (и с глюками), обновите хотя бы 3.30, если нет возможности купить - тема в варезнике. Кстати, лицензия L4 стоит в Миксе всего 1000 руб и никакого гемора с обновлениями (аж до несуществующей ещё 6-ки) и прочим. В ней много исправлений, железо она тоже значительно лучше понимает, версия ядра там новее (Debian 2.4 кажется). Купить легко по эл. почте с оплатой по вебмани (через платежный терминал), ключ они Вам пришлют.

Цитата:

входить через L2TP можно с любого интерфейса?

Там нет привязки в L2TP - можно с любого. При подключении создаётся виртуальный интерфейс, практически равноправный с реальными, т.е. бОльшую часть всего, что можно делать на реальном интерфейсе, можно делать и на виртуальном, а в файрволле - так и вообще полное равноправие.

Iliasla

Код: /ip firewall filter
add action=drop chain=forward comment=spammer disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="" \
connection-limit=10,32 disabled=no dst-port=25 limit=30,5 protocol=tcp src-address-list=!spammer

vlh
Ага, спс! Примерно так я и думал, только про бан ещё не домыслил.
Я честно говоря не знаю что там ещё добавлять. Всё определяется текущими потребностями. Моим юзерам, например, надо давать максимально свободное хождение, ибо кампусная сеть.

Цитата:

Всё определяется текущими потребностями.

я имел ввиду, какие в основном нужны правила, что бы
защитить локальную сеть, ну то есть как например в мыльницах,
поставил галку и вроде все в порядки и при этом интернет
должен работать без каких либо ограничений, то есть захотел
клиент открыть страницу, поиграть онлайн, скайп, почта, аська,
торент а как же без него, а то разбегуться

правила я бы может и смог написать только не пойму что блокировать...

vlh
Для прямой защиты локалки достаточно блокировать подключения извне, что и осуществляет пакет из 4-х правил, который я приводил выше.
Для косвенной защиты - нужна блокировка флуда (ограничение количества соединений на 1 юзера), спама.
Остальные правила нужны для обеспечения правильной работы сервисов/служб. Например, ICMP обязателен, хотя не обязательно пропускать его весь, главное - пропускать сообщения маршрутизаторов, эхозапросы/ответы и трассировку (см. например http://ru.wikipedia.org/wiki/MTU)

Iliasla
что то я в стопоре, какое то не соответствие, создали правила
для прямой защиты, создали для косвенной, а вот зачем правила
для правильной работы служб если в RO разрешено все что не заблокировано.
и потом для чего ограничивать ICMP что такого если он будет проходить
весь?
вот корректно ограничить бы UDP запросы, вот это было бы хорошо...

Здравствуйте! Имеется микротик 3.22, он получает интернет от провайдера через pppoe, на нем же поднят dhcp сервер для раздачи ip в локальную сеть, открыты порты дя utorrenta. Включен upnp.
Все работает замечательно, теперь собственно вопрос! Каким образом настроить все так, чтобы приоритет был у любого трафика перед utorrent, тоесть чтобы торрент качал забирал весь канал, но если любое приложение обращается в интернет (не важно skype или браузер) у него должн быть приоритет. Желательно как можно подробней.

acerr
то что вы хотите будет работать только при забитом канале,
то есть если у вас канал от провайдера 20Мбит\с, а пользователи
его забивают не больше например 19Мбит\с, то приоритет трафика
работать не будет...
для начала попробуйте сделать нарезку скорости с помощью
очередей PCQ и ограничить TCP сессии на все соединения кроме
80, 443, 8080 портов, ну и поиграться с Dst.limit для UDP...
этого уже хватает что бы прилично работать...

skype вообще несильно отличается от utorrent'а - обе софтины используют шифрованные p2p-соединения =)

а в целом (не первый раз, и не последний ) для обеспечения качества канала в первом приближении надо просто переложить ограничение канала с провайдера на себя. потому как ограничение - это, по сути, дропы "лишних" пакетов, не влезающих в канал. значит, надо самому зарезать входящий трафик на ширину канала минус те самые волшебные 5-10%, после чего в нормальной ситуации (без всяких форс-мажоров в виде DoS-атак) канал провайдера не упирается в плешку, и все входящие к нам пакеты через него проходят без дропов. здесь уже можно их разбирать отдельно по приоритетам, пользователям - главное, что они находятся на подконтрольной территории =)

vlh
Нужны ли будут дополнительные правила для пропуска каких-то служб или нет - зависит от того, как фильтруем траффик. Если блокируем порты от 1 до 1024 - то дополнительные правила понадобятся
ICMP тоже слишком объёмный - если нужна максимальная секьюрность (для корпоративной сети), то из всего ICMP можно оставить буквально несколько служб ICMP.

acerr

Цитата:

Желательно как можно подробней.

http://wiki.mikrotik.com + ссылки темы + Google ))

Цитата:

Нужны ли будут дополнительные правила для пропуска каких-то служб или нет - зависит от того, как фильтруем траффик.

а если вообще не фильтруем?
кроме ограничений пользователей...
вот если через веб морду включить Protect router и Protect LAN
то этого наверное будет достаточно?
я понимаю если сеть коммерческая или закрытая, а если нет,
локалка в интернет...

vlh
Забудьте про вебморду. Это так, наспех подключить роутер для выхода в инет.
Создаёт правила, аналогичные приведённым мной, может удалить правила, созданные в винбоксе.
В 5-й версии RoS уже сделали нормальный веб-интерфейс, но он ещё сырой. Ну и винбокс всё равно более функционален.

Цитата:

а если вообще не фильтруем?
кроме ограничений пользователей...

Ну это уже фильтруем ))
По-моему мы уже ходим по кругу, обсуждая вопрос фильтрации. (( И смысл уже потерялся. Всё ведь определяется текущими задачами.

Посоветуйте железку для организации подключения небольших офисов по OpenVPN.
Небольшой офис - это до 4 человек, иногда до 8.
Достаточная скорость по OpenVPN - 265 Кбит, но можно и больше

Присмотрел RB750, но не понятно можно ли использовать в ней часть Ethernet-портов как свитч.
И еще если надо что-то типа RB750, но с USB-портом для 3G-модема, то что лучше брать?

В центральном офисе думаю поставить OpenVPN на Linux

yahan2

Цитата:

можно ли использовать в ней часть Ethernet-портов как свитч

Можно. Хотя для офиса я бы предпочёл RB450G (больше памяти, выше производительность на 20-40%, терминальный разъём, наличие гнезда MicroSD, металлический корпус).

Цитата:

надо что-то типа RB750, но с USB-портом для 3G-модема

Лучше всего подойдёт маршрутизатор на основе платы RB433UAH + простой восьмипортовый свитч. ROS входит в стоимость платы, дополнительно понадобятся корпус и БП. Имеется запас производительности на будущее - вдруг смените провайдера.

Chupaka

Цитата:

в forward надо заблокировать (action=reject/drop) пакеты из LAN в VLAN

Спасибо, работает.

Уважаемые, а не подскажите как можно сделать вообще изолированные VLAN и нужной маршрутизацией?
Почитал всякие вырезки, попробовал через Mangle, всё равно не получается заизолировать от доступа ко всем (из всех) сетям и настроить маршрутизацию, и шлюз по умолчанию.
У меня задача такая:
Имеется VLAN внутри сети, необходимо поднимать (или он уже поднят) для него VPN канал и предоставлять только туда доступ, так же этот VPN могут использовать пользователи других сетей, например из LAN.

AntoshAReal
вот так и делать: нужное разрешить, ннужное заблокировать. в forward =)

Iliasla

Цитата:

Лучше всего подойдёт маршрутизатор на основе платы RB433UAH + простой восьмипортовый свитч. ROS входит в стоимость платы, дополнительно понадобятся корпус и БП. Имеется запас производительности на будущее - вдруг смените провайдера.

Ну можно и RB493G тоже посоветовать.

Chupaka

Цитата:

вот так и делать: нужное разрешить, ннужное заблокировать. в forward =)

Ну а как же роутинг?
Нужно что он был туда по-умолчанию. Шаги вправо-влево не допустимы

Уважаемые, подскажите пожалуйста, RB750 - 5 портов: могут ли возникнуть сложности с конфигурированием (например маршрутов), при следующей схеме подключения:
интерфейс1 - интернет,
интерфейс2-5 - будут использоваться, как обычный свич, который смотрит в локальную сеть.
Задачи маршрутизатора сводятся к минимуму:
- общий доступ к интернету посредством трансляции адресов,
- проброс нескольких портов,
- фаерволл
- DHCP-сервер для интерфейсов2-5

Спасибо.

Цитата:

могут ли возникнуть сложности с конфигурированием

хочется сказать очевидное: мол, в настолько базовой конфигурации - конечно трудностей возникнуть не может... а потом вспоминается, как люди иногда настолько изобретательными оказываются, что аж... бррр =)

Chupaka
ответ неясный.
и где тут изобретательность?) не пойму. Представляется ли возможным на 4-х портах "сэмулировать" обычный коммутатор без ущерба поставленным задачам ?
поясняю, акцент ставится на отказоустойчивость устройства, выбор сделан, думаю, столь умная железячка должна с этим справится, о чём прошу уважаемых форумчан уточнить и наставить...

Добавлено:
ход мыслей следующий: имея 5 ethernet интерфейсов, необходимо задавать им адреса, да и связь м/у ними должна быть коммутироемой) как оказалось - "Five 10/100 ethernet ports (with switch chip)", предполагать не мог даже такого)

AntoshAReal

Цитата:

Ну можно и RB493G тоже посоветовать

У RB493G порт USB только один и требует внешнего питания. В 433UAH - 2 порта со встроенным питанием (max 2А общий).

FreeLSD_md
"Изобретательность" - это как из книги Законов Мерфи (цитата): "Если что-то можно сделать неправильно - это будет сделано неправильно" ))
Ваш желаемый конфиг устройства - самый стандартный, всё будет работать. В заводском конфиге "по-умолчанию" коммутатор там уже настроен на портах 2-5, где порт 2 - master (все свои правила обработки внутреннего трафика надо вешать именно на master).

каждому, из выбранных под это дело, интерфейсов просто не присваиваются адреса, но интерфейс остаётся включённым)

FreeLSD_md
более того: у каждого указан master. из-за этого с интерфейсом нельзя работать напрямую, только через свитч, который пакеты на CPU присылает через мастера

Chupaka

Вопрос есть.

требуется сделать двухпроходный шейп, то есть вначале пошейпить большую сеть в global-in,
а потом туже сеть но разбитую на более мелкие сети в global-out.

вроде как по доке вначале маркируются пакеты в прероутинг, с passthrough=yes для большой сети, потом ремаркируются в форварде для более мелких сетей и отрабатывает global-out.

вобщем то правила создал но вот global-in не отрабатывает в queues tree.

ROS стоит 3.30

боюсь соврать но помоему ты как то на форуме давал ссылку на доку где вроде как на пальцах расжовывалось как это все делать, только вот найти не могу.

Помогите пож-та настроить следующую конфигурацию [RouterOS 2.9.27]:

Есть канал 50 Мбит. Есть 10 обычных юзеров + 1 шеф.

Тарфик нужно разделить следующим образом:

10 пользователей имеют в своем распоряжении 30 Мбит на всех
    - если в сети один пользователь он может занять все 30 Мбит
    - если в сети два пользователя они имеют по 15 Мбит
    - и т.д.
    - если в сети все 10 пользователей, каждый получит не более 3 Мбит

шеф всегда должен иметь в своем распоряжении 40 Мбит
    - если в сети шеф и 2 пользователя, то шеф получит 40 Мбит, а пользователи по 5 Мбит [40 + 2*5 = 50]
    - если в сети шеф и 10 пользователий, то шеф получит 40 Мбит, а пользователи по 1 Мбит [40 + 10*1 = 50]
    
Заранее благодарен.

fdboss
если у вас NAT, то метим в прероутинге если вам дальше не чего делать
с этим пакетом в прероутинге то ставим passthrough=no, в queue tree ловим
как вход так и выход в global-in, далее в форварде метим так же passthrough=no и потом в queue tree вход ловим в LAN выход в global-out...
у меня так работает, правда в прероутинге ловится трафик для приоритета, но это не имеет значение....

zaharmd
если понимать как это работает, то ни каких трудностей в вашем задании нет, прочтите
для начала - тут
если что не получится, то задавайте вопросы, думаю, что вам помогут...

Поставлю, например, в филиале RB450G.
Надо на RB450G реализовать постоянную VPN-связь с головным офисом.
Головной офис подключен к двум провайдерам и имеет 2 постоянных IP-адреса.
В случае если падает один канал - надо работать с головным офисом через 2-ой адрес.
Через VPN-туннели должен ходить не только трафик на сетку головного офиса, но и на
другие сети, к которым подключен этот офис.

Это точно можно сделать на RB450G?

Думаю на RB450G сделать так:
1. Поднять 2 VPN-туннеля на головной офис на разные IP головного офиса
2. Прописать статическую маршрутизацию через эти туннели с разными приоритетами
3. В головном офисе будет OpenVPN-сервер на Linux
Как-то лучше можно сделать?

Подскажите, возможно ли соединить два микротика между собой через нужный мне порт например через 5000?
если да то в какую сторону смотреть?

yahan2
Можно сделать просто LACP-совместимый Bonding интерфейсов VPN, а на том конце использовать LACP. Или любую другую политику, которую поддержит сервер VPN.
http://wiki.mikrotik.com/wiki/Manual:Interface/Bonding
http://wiki.mikrotik.com/wiki/Manual:Bonding_Examples
Некоторые политики Bonding-а хороши "безобрывностью" в моменты переключений.
Или такой вариант http://wiki.mikrotik.com/wiki/Manual:Load_balancing_multiple_same_subnet_links
Или обычный Failover линков (либо один, либо другой) посредством несложного скрипта, или вообще пары шлюзов с разными метриками в Routing с пингованием их доступности.
Хождение траффика обеспечите маршрутизацией на микротике и VPN-сервере.

Light_AS
Можно использовать любой туннельный протокол, и на обоих роутерах использовать Destination NAT / Portmapping - с переносом стандартного порта выбранного протокола к нужному Вам номеру 5000.

Цитата:

на обоих роутерах использовать Destination NAT / Portmapping

к сожалению, для output нельзя использовать DstNAT - необходим щё один роутер с каждой стороны %)